westlife
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для этих целей существует официальная утилита GPO.msi, входящая в пакет Microsoft Security Compliance Manager
Вот ссылка на нее. Единственное, она пока на 10 не работает.
Вылетает предупреждение, что не поддерживает эту винду, да и в описании максимум 8. В ней можно одной командой
строкой применить настройки ГП.
Описание подробное есть тут
Но я не смог в этом убедиться. Пошел капать дальше.
А в блоге от 5 августа тело из МС на их сайте отписало, что они скоро выпустят для 10 версию этой утилиты.
Закинул файлы Registry.pol пере-загрузился, В реестре пусто, запускаю оснастку ГП, там все параметры стоят. Но, выходит метод не пашет.
Стал смотреть, что делает ГП во время работы, отфильтровал лишнее в процесс мониторе и вот что получилось.
При запуске ГП, если уже создан Registry.pol с настройками, она выгружает их в временную ветку с рендомным {...........} адресом по пути
сюда -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy Objects\{...........}\Machine\Software\Policies\Microsoft\Windows\
И если изменить любой параметр, она сначала проверяет все параметры из файла Registry.pol и удаляет их из реестра по пути:
HKEY_LOCAL_MACHINE\.......\Policies\....
, из тех что прописаны в Registry.pol, а затем по новой проходит и проставляет их обратно, вместе с новым выставленным параметром.
То есть, как бы, ставишь один параметр, а она обновляет их все по новой, + добавляет новые и удаляет снятые.
При закрытие ГП, она удаляет полностью ветку ...\Group Policy Objects и ключи из HKEY_LOCAL_MACHINE\.......\Policies\...., которые выставлены в значении не задано, так как они больше не нужны.
В итоге, что бы применить все значения ГП из файлов Registry.pol, можно сделать так:
1. Установить винду.
2. Запустить ГП и выставить любой параметр в любое значение, закрыть ГП.
3. Скопировать Registry.pol каждый в свою папку Machine и User в C:\Windows\System32\GroupPolicy, лучше их копировать вместе с папками,
с заменой созданного уже файла. Другие файлы не нужны, если нет дополнительных настроек, аудита и так далее.
4. Тут два варианта, первый проще:
а). Выполнить в командной строке от админа: gpupdate /force
ГП (mmc) обновит все параметры в реестре, удалит лишнее, внесет нужное.
б). Запустить ГП и выставить или отменить какой-нибудь параметр, тем самым ГП обновит все параметры в реестре, закрыть ГП.
5. Перезагрузка.
p.s. Если просто кинуть файлы и выполнить команду, ни чего не будет изменено, так как, как понял я, это команда сравнивает занесенные параметры
в реестре и сравнивает с параметрами в Registry.pol, и если параметров в реестре нету, то она их и не сравнивает и ни чего не делает.
Можно попробовать подсунуть ей нужный параметр, чтобы она выполнила обновление, но я это буду проверять в другой раз,
и так потратил на изучение этого больше 5 часов =)
Удалить все значения ГП просто:
1. Удалить файлы Registry.pol
2. Команда gpupdate /force
3. перезагрузка.
|
Всего записей: 1390 | Зарегистр. 12-12-2006 | Отправлено: 08:04 10-09-2015 | Исправлено: westlife, 04:32 11-09-2015 |
|
